2026-01-21 00:51:11 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 亚信安全披露银狐木马新变种，伪装Chrome官网传播。该样本综合运用多次文件释放、白加黑、DLL膨胀及内存加载技术规避检测，利用签名白文件掩护恶意代码，通过PowerShell设置Defender例外并连接C2。建议企业建立纵深防御，部署智能联动安全产品，及时修补漏洞并警惕不明下载。 综合评分： 86 文章分类： 恶意软件,威胁情报,应急响应,产品介绍

cover_image

银狐新年又 “作妖”？浏览器下载藏致命陷阱，已有多人中招！

你信任的你信任的

亚信安全

2026年1月20日 17:55 北京

2026

银狐木马1月新变种

银狐又 “作妖”？

浏览器下载藏致命陷阱已有多人中招！

前言

近日，应急响应中心截获了银狐木马变种，该变种延续了银狐木马的一贯攻击目标，但在技术层面进行了显著升级。它通过仿冒常用软件（如伪装Chrome官网诱骗用户下载仿冒Chrome浏览器）进行传播初始入侵，并综合运用多次文件释放、白加黑（Living-off-the-Land）技术、DLL文件膨胀等多种先进免杀技术，最终在内存中解密加载Shellcode，连接远程命令与控制（C2）服务器，实现完整的木马功能。

仿冒Chrom网站

浏览器下载藏致命陷阱

攻击流程

“银狐”变种详细分析

初始入侵与文件释放

恶意程序运行后，立即在临时目录（%temp%）下创建一系列复杂的子目录和临时文件（如is-RSUNG.tmp目录下的UIOPPSM_Win7-11_x64_Riunhormmepc-v58254.22642.tmp），并创建新进程运行该文件以进入第二阶段，随后主进程退出。这种多次文件释放和进程链切换的手法，旨在干扰安全分析人员的追踪，增加检测难度。

伪装与Shellcode加载

在第二阶段，恶意程序会创建大量文件。值得注意的是，其中包含5个具有有效数字签名的合法软件（如360SysVulTerminator.exe、Chrome_安装包.exe等）。这种将合法软件与恶意文件混合存放的策略，是典型的“白加黑” 战术，利用可信的“白文件”来掩盖恶意“黑文件”的活动，从而绕过基于信誉或签名的安全检测。

带有数字签名的合法Chrome安装包

该阶段的核心恶意组件是0710.exe（Shellcode加载器）和unins000.dat（加密的Shellcode）。0710.exe被执行后，会将unins000.dat读取到内存中，解密出最终的Shellcode并创建线程执行。这种内存加载技术避免了恶意文件直接落地，极大地增强了隐蔽性。

最终载荷投递与持久化

第三阶段解密的Shellcode会进一步释放“白加黑”组合到ProgramData目录。其中，QMUpload.exe是带有合法签名的白文件，而QMStuck.dll则是经过DLL膨胀技术处理的恶意动态链接库。所谓DLL膨胀，是指恶意代码被大量无用或混淆代码填充，使得文件体积变大，旨在干扰静态特征码扫描。

随后，恶意程序会通过PowerShell命令设置Windows Defender扫描例外，试图规避系统自防护机制。最终，当白文件QMUpload.exe被运行时，它会加载恶意的QMStuck.dll。该DLL在内存中执行最终的有效载荷，与C2服务器（23.133.4.25:27978/ 15.197.64.127:443）建立通信，完成远程控制木马的部署。

IOC

样本Hash：

8c53aab5d025a82ad83705f4f0c9071a1e5810fe

核心免杀技术

该变种集成了多种高规避性免杀技术：

白加黑技术:利用带有合法数字签名的可信程序加载恶意DLL，绕过安全软件的静态信任验证。
多阶段文件释放与内存加载:攻击载荷不直接落地或在内存中解密执行，有效规避基于文件的检测。
DLL膨胀与代码混淆:增加恶意文件体积和逆向分析难度，对抗静态特征码扫描。

滥用合法工具: 使用PowerShell等系统合法工具进行对抗操作，使其行为混入正常系统活动，难以被发现

总结

银狐新变种在免杀技术与攻击复杂度上的持续演进，表明攻击者的对抗能力正不断升级。该变种通过多种技术的组合运用，显著提升了攻击的隐蔽性，对依赖传统特征检测的防御体系构成了严峻挑战。面对此类高级威胁，企业必须建立纵深的防御策略，将技术防护、人员意识与管理流程紧密结合，从而系统性降低风险，保障信息安全。

通用处置建议

全面部署具备智能体系化联动的安全产品，保持相关组件及时更新
保持系统以及常见软件更新，对高危漏洞及时修补
不要点击来源不明的邮件、附件以及邮件中包含的链接
请到正规网站下载程序
采用高强度的密码，避免使用弱口令密码，并定期更换密码
尽量关闭不必要的端口及网络共享

亚信安全产品解决方案

ATTK是亚信安全研发的疑难病毒检测工具，不仅可以高效收集系统信息，还具备强大的病毒检测和查杀能力。

ATTK银狐专杀工具集成了梦蝶引擎的最新能力，包含10万条以上的启发式规则，机器学习模型和海量的云查杀病毒库。其中，梦蝶云查杀库新增每周350万+病毒样本检测能力，并建立了转向流程将流行样本和银狐木马加入本地特征库。

亚信安全勒索治理方案

亚信安全建议通过高级威胁监测与治理产品对客户内网从网络流量、邮件以及文件等容易遭受黑客病毒攻击的维度进行全方位的检测，并通过终端检测与响应EDR进行攻击行为的溯源与验伤，锁定攻击源头与攻击方式。

通过本地威胁情报中心以及统一的安全运营平台基于病毒情报特征进行规则更新，并统一策略下发至云、网、边、端各个安全产品对木马病毒进行拦截阻断，防止病毒在内网环境中的进一步传播。

企业文件系统防护方案

针对黑客团伙利用伪造正常业务系统文件传播病毒的情况，亚信安全高级威胁文件沙箱DDAN作为专注于动态检测病毒文件的沙箱产品，可有效检测病毒文件，防护客户企业文件系统安全。

企业邮件系统防护方案

针对黑客团伙利用钓鱼邮件传播病毒的情况，亚信安全信桅高级威胁邮件防护系统DDEI作为专注于钓鱼邮件防治的国内TOP级邮件网关产品，对钓鱼邮件的检出与拦截率超过95%，对垃圾邮件的综合过滤率达到99.5%，可有效防治黑客通过邮件的方式传播病毒的行为。

通过邮件网关DDEI的内置沙箱深度分析附件中的木马，通过统一威胁运营平台将有害的附件情报同步到全网终端检测与响应设备实现自动遏制。

联动路径:亚信安全信桅高级威胁邮件网关(DDEI) ==>本地威胁情报中心==>统一威胁运营平台==>终端检测与响应(EDR)

亚信安全建议

亚信安全认为，尽管许多组织已实施网络安全防护措施，但他们仍然遭受勒索攻击。这主要是因为现有的安全策略大多针对传统勒索软件，未能意识到这种攻击形式已演变成一个复杂的侵害网络，并形成了庞大的犯罪产业。许多企业忽视了攻击手法的多样性和发展趋势，导致防御措施难以应对新型威胁。

因此，必须重新审视和升级安全策略，以适应不断变化的网络环境，开启关键日志收集、配置IP白名单规则、进行主机加固、部署入侵检测系统、建立灾备预案，并在遭遇勒索软件攻击时及时断网并保护现场，以便安全工程师排查。

了解亚信安全，请点击“阅读原文”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：亚信安全你信任的你信任的《银狐新年又 “作妖”？浏览器下载藏致命陷阱，已有多人中招！》